RBAC (controle de acesso baseado em função) com o Microsoft Intune

O RBAC (controle de acesso baseado em função) ajuda a gerenciar quem tem acesso aos recursos da sua organização e o que eles podem fazer com esses recursos. Ao atribuir funções aos usuários do Intune, é possível limitar o que eles podem ver e alterar. Cada função tem um conjunto de permissões que determinam o que os usuários com essa função podem acessar e alterar dentro de sua organização.

Para criar, editar ou atribuir funções, sua conta deve ter uma das seguintes permissões no Azure AD:

  • Administrador Global
  • Administrador de Serviços do Intune (também conhecido como Administrador do Intune)

Para dicas e sugestões sobre o RBAC do Intune, você pode conferir esta série de cinco vídeos que mostram os exemplos e explicações passo a passo: 1, 2, 3, 4, 5.

Funções

Uma função define o conjunto de permissões concedido aos usuários atribuídos a essa função. É possível usar as funções internas e personalizadas. As funções internas abordam alguns cenários comuns do Intune. É possível criar suas próprias funções personalizadas com o conjunto exato de permissões necessárias. Várias funções do Azure Active Directory têm permissões para o Intune. Para ver uma função, escolha Intune > Administração de locatários > Funções > Todas as funções > escolha uma função. Você poderá gerenciar a função nas seguintes páginas:

  • Propriedades: o nome, a descrição, as permissões e as marcas de escopo da função.
  • Atribuições: uma lista das atribuições de função que define quais usuários têm acesso a quais usuários/dispositivos. Uma função pode ter várias atribuições e um usuário pode estar em várias atribuições.

Observação

É preciso ter uma licença do Intune atribuída para poder administrar o Intune. Como alternativa, você pode permitir que usuários não licenciados administram o Intune definindo Permitir acesso a administradores não licenciados como Sim.

Funções internas

Você pode atribuir funções internas a grupos sem configuração adicional. Não é possível excluir nem editar o nome, a descrição, o tipo ou as permissões de uma função interna.

  • Gerenciador de Aplicativos: gerencia os aplicativos móveis e gerenciados, pode ler as informações do dispositivo e pode exibir os perfis de configuração do dispositivo.
  • Gerenciador de Segurança do Ponto de Extremidade: gerencia os recursos de segurança e conformidade, como linhas de base de segurança, conformidade do dispositivo, acesso condicional e Microsoft Defender para Ponto de Extremidade.
  • Operador de suporte técnico: realiza tarefas remotas em usuários e dispositivos e pode atribuir aplicativos ou políticas a usuários ou dispositivos.
  • Administrador de Função do Intune: gerencia funções personalizadas do Intune e adiciona atribuições a funções internas do Intune. É a única função do Intune que pode atribuir permissões a Administradores.
  • Política e Gerenciador de Perfis: gerencia a política de conformidade, os perfis de configuração, o registro da Apple, os identificadores de dispositivo corporativo e as linhas de base de segurança.
  • Operador somente leitura: exibe informações de usuário, dispositivo, registro, configuração e aplicativo. Não é possível fazer alterações no Intune.
  • Administrador de Escola: Gerencia dispositivos Windows 10 no Intune para Educação.

Funções personalizadas

É possível criar suas próprias funções com permissões personalizadas. Para saber mais informações sobre funções personalizadas, confira Criar uma função personalizada.

Funções do Azure Active Directory com o acesso do Intune

Função do Azure Active Directory Todos os dados do Intune Dados de auditoria do Intune
Administrador Global Leitura/gravação Leitura/gravação
Administrador de Serviços do Intune Leitura/gravação Leitura/gravação
Administrador de Acesso Condicional Nenhum Nenhum
Administrador de Segurança Somente leitura (permissões administrativas completas para o nó de Segurança do Ponto de Extremidade) Somente leitura
Operador de segurança Somente leitura Somente leitura
Leitor de segurança Somente leitura Somente leitura
Administrador de conformidade Nenhum Somente leitura
Administrador de dados de conformidade Nenhum Somente leitura
Leitor global Somente Leitura Somente Leitura
Leitor de Relatórios Somente leitura Nenhum

Dica

O Intune também mostra três extensões do Azure AD: Usuários, grupos e acesso condicional controlados com o uso do RBAC do Azure AD. Além disso, o Administrador de Contas de Usuário apenas realiza as atividades do usuário/grupo do AAD e não tem permissões totais para realizar todas as atividades no Intune. Para saber mais, confira RBAC com o Azure AD.

Atribuições de função

Uma atribuição de função define:

  • quais usuários são atribuídos à função
  • quais recursos eles podem ver
  • quais recursos eles podem alterar.

É possível atribuir funções internas e personalizadas a seus usuários. Para receber uma função do Intune, o usuário deve ter uma licença do Intune. Para ver uma atribuição de função, escolha Intune > Administração de locatários > Funções > Todas as funções > escolha uma função > Atribuições > escolha uma atribuição. Na página Propriedades, você poderá editar:

  • Informações básicas: o nome e a descrição das atribuições.
  • Membros: todos os usuários dos grupos listados no Azure têm permissão para gerenciar os usuários/dispositivos listados no Escopo (Grupos).
  • Escopo (Grupos) : todos os usuários/dispositivos desses grupos de segurança do Azure podem ser gerenciados pelos usuários em Membros.
  • Escopo (Marcas) : os usuários em Membros podem ver os recursos que têm as mesmas marcas de escopo.

Atribuições de função múltiplas

Se um usuário tiver várias atribuições de função, permissões e marcas de escopo, essas atribuições de função se estenderão a diferentes objetos, da seguinte maneira:

  • Permissões de atribuição e marcas de escopo se aplicam somente aos objetos (como políticas ou aplicativos) no escopo (grupos) da atribuição dessa função. Permissões de atribuição e marcas de escopo não se aplicam a objetos em outras atribuições de função, a menos que outra atribuição as conceda especificamente.
  • Outras permissões (como de criação, leitura, atualização e exclusão) e marcas de escopo se aplicam a todos os objetos do mesmo tipo (como todas as políticas ou todos os aplicativos), em qualquer uma das atribuições do usuário.
  • Permissões e marcas de escopo para objetos de tipos diferentes (como políticas ou aplicativos) não se aplicam umas às outras. Uma permissão de leitura para uma política, por exemplo, não fornece uma permissão de leitura a aplicativos nas atribuições do usuário.

Próximas etapas